Przedsiębiorcy zapominają testować oprogramowanie, a jeśli to robią, nie pamiętają o RODO

Bagatelizują obowiązki z tym związane nałożone przez unijne rozporządzenie albo robią to w sposób niedostateczny lub błędny. Tymczasem prezes Urzędu Ochrony Danych Osobowych bacznie się im przygląda, o czym świadczy coraz większa liczba decyzji

Unijne rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; Dz.Urz. UE z 2016 r. L 119, s. 1; dalej: RODO) wymaga od administratorów i podmiotów przetwarzających wdrożenia odpowiednich środków technicznych i organizacyjnych, które zapewnią danym osobowym właściwą ochronę. I choć od daty rozpoczęcia stosowania rozporządzenia (25 maja 2018 r.) minęło już kilka lat, to wielu przedsiębiorców nie realizuje obowiązków poprawnie. Zazwyczaj skupiają się na „papierowym bezpieczeństwie” związanym z dokumentacją, aby spełnić podstawowe wymogi na wypadek kontroli. Zapominają, że znaczenie mają realne działania techniczne i organizacyjne, a ich dobrym przykładem jest m.in. testowanie oprogramowania. [ramka] Ostatnie decyzje prezesa Urzędu Ochrony Danych Osobowych nakładające surowe sankcje za brak testów lub niewłaściwe ich przeprowadzenie powinny być sygnałem dla przedsiębiorców, że czas na zmianę podejścia do tej kwestii. Uzasadnienia decyzji organu zawierają cenne wskazówki, na co należy zwrócić szczególną uwagę w zakresie testów. Analiza tych decyzji, a także orzeczeń sądów administracyjnych, pozwala poznać nie tylko stawiane wymagania, lecz także sposób interpretacji przepisów RODO przez organ nadzorczy i sądy.

O jakie działania chodzi

Testowaniem oprogramowania nazywamy czynności polegające na weryfikacji jego jakości. Innymi słowy, jest to sprawdzanie, czy wytworzone oprogramowanie działa zgodnie z założeniem biznesowym i jakościowym. Na przykład podmiot zakładający sklep internetowy powinien dokładnie przetestować jego działanie przed uruchomieniem i udostępnieniem dla klientów, m.in. w zakresie bezpieczeństwa danych, transakcji, spełnienia wymagań funkcjonalnych i niefunkcjonalnych oraz w celu weryfikacji, czy spełnia założenia biznesowe i prawne. Na testy oprogramowania składa się cały cykl czynności, które z kolei są istotnym elementem procesu wytwarzania oprogramowania. Można je podzielić na fazy, m.in planowanie testów, analiza testów, pisanie scenariuszy testowych, przygotowanie środowisk testowych, egzekucja testów, automatyzacja, zgłaszanie błędów, retesty, testy regresji, testy penetracyjne itd. Na każdym z tych szczebli istnieje ryzyko pojawienia się błędów, które w ostateczności mogą rzutować na zgodność z prawem, ochronę danych i bezpieczeństwo przetwarzania. Dzięki testom otrzymujemy informację, czy oprogramowanie zawiera takie błędy i dzięki temu je naprawić, aby finalny produkt był jak najlepszej jakości. Im wcześniej osoba testująca znajdzie błędy, tym koszt ich naprawy jest tańszy, a samo oprogramowanie bezpieczniejsze.